SOME – SOC Ekipleri için Açık Kaynak Çözümler – III

MISP ve The Hive

SOME ve SOC Ekipleri için Açık Kaynak Çözümler konusu üçüncü bölümü ile karşınızdayız. Bu çözümler arasından Cortex Projesi, GOSINT, Collective Intelligence Framework, Cyphon Projesi, RTIR Projesi ve Apache Metron projesini anlatarak SOME ve SOC ekipleri için hazırladığımız açık kaynak kod çözüler konusunu tamamlıyoruz.

Cortex Projesi

Cortex, tehdit istihbaratı ve olay müdahale alanında SOC ekiplerinin sık karşılaştığı bir sorunu çözmek amaçlı geliştirilmiştir. Bu sorun toplanan tehdit göstergelerinin tek bir araç kullanarak ve sorgulanarak nasıl analiz edileceğidir.

TheHive Projesi tarafından açık kaynak kodlu ve ücretsiz bir yazılım olan Cortex bu amaçla oluşturulmuştur. IP, e-posta adresleri, URL’ler, alan adları, dosyalar veya dosya özetleri gibi göstergeler, bir web arayüzü kullanılarak tek tek veya toplu modda analiz edilebilir. Analistler, Cortex REST API sayesinde bu işlemleri otomatikleştirebilirler. Cortex Scala’da yazılmıştır. Bootstrap ile birlikte AngularJS kullanmaktadır. Cortex’in sunduğu avantajlardan biri, bir analiz işlemi için bir servis veya bir araç kullanmak istediğiniz de her seferinde tekerleği yeniden icat etmek zorunda kalmamanızdır.

Cortex Project some, soc

Web sayfası:

GOSINT Framework

Yazımızda da bahsettiğimiz gibi internet üzerinde hali hazırda çok fazla açık kaynak tehdit istihbarat aracı bulunmaktadır. Ancak bu konu hakkında yararlı bilgi bulmak, toplamak ve filtrelemek için kolay bir yol bulunmamaktadır. GOSINT, bir güvenlik analistinin yapılandırılmamış tehdit istihbaratını toplamasına ve standartlaştırmasına olanak tanımaktadır.

Gosint project some, soc

GOSINT’i tehdit göstergeleri için bir transfer istasyonu olarak düşünebilirsiniz. Yazılım, tehdit istihbaratı analistlerine bir göstergenin izleme değerinde olup olmadığını veya reddedilmesi gerektiğini değerlendirmesine izin verir. Bu karar verme aşaması, herhangi bir tehdit göstergesini yönetmede çok önemlidir. Hem bir insan analisti hem de GOSINT’in kendisi tarafından tetkik edilmesi, göstergelerin tehdit algılama etkinliğini arttırır. Ekleyebileceğiniz gösterge kaynakları sayısında da bir sınır bulunmamaktadır.

Collective Intelligence Framework

CIF, bir siber tehdit istihbarat yönetim sistemidir. CIF, birçok kaynaktan gelen bilinen zararlı yazılım tehdit göstergelerini(IOC) birleştirmenize ve bu bilgileri tanımlamanızı ve algılamanızı sağlamaktadır. CIF’te depolanan en yaygın tehdit göstergeleri türleri, zararlı etkinlikle ilişkili olduğu gözlenen IP adresleri, FQDN’leri ve URL’lerdir. CIF, çeşitli tehdit verilerini herhangi bir kaynaktan alabilmektedir.

collective some, soc

Framework’ün çalışma mantığı ise şu şekildedir.

  • Herhangi bir kaynaktan veri alma.
  • Bu veriyi kaydetme ve reputation(itibar)’a göre değerlendirme.
  • Sorgular aracılığıyla tekrar veriye erişim ve dışarı aktarma.

Web sayfası:
Github: https://github.com/csirtgadgets/massive-octo-spice

Cyphon Projesi

Cyphon, çok sayıda ilgili görevi tek bir platformda hızlandırarak olay müdahale (incident response) sorunlarını ortadan kaldırıyor. Analitik iş akışı için veri toplama, uyarıları paketleme ve önceliklendirme işlerini ve analistlerinizi olayları araştırmak ve belgelemek için yetkilendirmek için kapsamlı bir çözüm sunmak için olayları alır, işler ve süreçlere ayırır. Birçok işletme, ağlarını gözetlemek için e-postalara güvenmektedir. Cyphon, e-posta, günlük mesajları, API’ler, sosyal medya ve daha pek çok şeyi içeren çeşitli kaynaklardan ayrıntılı bilgi toplayarak veri yönetimindeki boşlukları kapatır. Analistlere, tüm bu veri kaynaklarına bir platform aracılığıyla tam erişim sağlayarak, Cyphon, veri kapsamını en üst düzeye çıkarırken ağları izlemek için gereken süreyi ve enerjiyi en aza indirmektedir.

cyphon project some, soc

Uyarılar tetiklendiğinde, analistler olayı doğrudan Cyphon aracılığıyla inceleyebilir. Karşılaşılan aktivitenin türünü, coğrafik kökenini ve kritiklik seviyesini hızlı bir şekilde görebilirler. Bir düğmeyi tıklatarak olayla ilgili günlükleri bulmak için verilere derinlemesine dalabilirler. Bu, bir uyarıyı araştırmak için gereken zamanı ve çabayı azaltır, böylece analistler daha verimli çalışabilir ve olaylar daha çabuk giderilebilir. Cyphon, başka bir SIEM veya veri toplama aracın daha fazla özellik sunmaktadır. İş akışınızı düzene sokmak için diğer API’lerle bütünleşen hepsi bir arada bir olay yönetimi çözümüdür. Cyphon, analistlerin ekip üyeleri ile sorunları paylaşmalarına ve analiz sonuçlarına uyarı eklemelerine olanak tanır. Bu, operasyon merkezinize veya güvenlik görevlilerine tam şeffaflık sağlarken, aynı zamanda kuruluşunuz için değerli bir bilgi tabanı oluşturur.

Cyphon Çalışma Mimarisi

Kuruluşlarınızın Cyphon’dan en iyi şekilde yararlanmasına yardımcı olmak için, uyarıları yönetmek için bir kullanıcı arabirimi olan Cyclops geliştirilmiştir. Cyclops, Cyphon uyarılarını kolayca görüntülemenizi, atamanızı ve araştırmanızı sağlar. Verilerinize “göz” sağlar, sorunlara hızlı ve etkili bir şekilde yanıt vermenizi sağlar.

Cylops Arayüzü

Cyphon birkaç açık kaynak projesinin yardımıyla çalışır. Cyphon’u çalıştırmak için tüm bağımlılıklarını yüklemeniz gerekir. Bu işlemi, bir uygulamayı bir mikro hizmet kümesi olarak kolayca dağıtmanıza olanak tanıyan Docker kullanılarak basitleştirilmiştir. Cyphon’u hem geliştirme hem de üretim ortamlarında çalıştırmak için Docker Oluşturma dosyaları seti hazır olarak bulunmaktadır. Bu Cyphon’u ve kullandığı diğer hizmetleri hızlı bir şekilde kurmanıza ve çalıştırmanıza izin verir.

cylops some, soc

Web sayfası: https://www.cyphon.io/
Github: https://github.com/dunbarcyber

RTIR Projesi (Request Tracker)

Her büyüklüğe ait kuruluşlar, müşteri isteklerini, iç proje görevlerini ve her türlü iş akışını izlemek ve yönetmek için Request Tracker kullanabilir. Özel ticket süresi, sorunsuz e-posta entegrasyonu, yapılandırılabilir otomasyon ve detaylı izinler ve roller ile RT, müşterilerinizin, personelinizin ve sizin ihtiyaçlarınıza cevap verir.

RT, birçok popüler mobil cihaz da dahil olmak üzere, herhangi bir modern tarayıcı ile çalışan bir sunucu tarafında, veritabanı destekli bir web uygulamasıdır. E-posta arayüzü, Outlook’tan Apple Mail’e, Thunderbird’den Gmail’e ve Mutt’e kadar herhangi bir posta istemcisiyle çalışır. Sunucu tarafında RT, Unix benzeri veya Linux işletim sistemi, SQL veritabanı, web sunucusu ve Perl gerektirir.

rtir project some, soc

RT Email Entegrasyonu:

rt email some, soc

  • Request Tracker, anahtar e-posta adreslerine gönderilen tüm e-postaları alır ve yönetir: örneğin, support @, sales @, helpdesk @, security @.
  • Dahili ekipler, aynı ticket üzerinde harici müşteriler ve ekip üyeleri ile birlikte iletişim kurabilir.
  • Otomatik cevaplar için şablonları ve her cevapla yararlı bağlantılar göndermek üzere sayfalarınızı ve diğer bilgiler de dahil olmak üzere markalı, stilli HTML e-postaları göndermek için diğer tüm yazışmaları özelleştirebilirsiniz.
  • Personel, ticket cevaplarını e-posta yoluyla yönetebilir veya RT’nin tam web arayüzünü kullanabilir.
  • E-posta ile gönderilen yanıtları ve yorumları ve ilgili tüm aktiviteleri kontrol edebilirsiniz.

RT Özel Çalışma Alanları:

rt email some, soc

RT’nin yaşam döngüsü, ticket durumlarınızı ve işlemlerinizi içeren kişiselleştirilebilir iş akışları oluşturmanıza olanak tanır. Ticket’larda yapılan her işlem otomatik olarak yapılandırılmış script’leri tetikler. Her bir script’teki koşullar ve işlemler, bir ticket üzerinde önemli güncellemeler yapıldığında, RT ya da diğer sistemlerdeki olayları otomatik hale getirmenizi sağlar.

SLA aracı gibi gelişmiş özellikleri, her bir ticket üzerindeki son tarih gibi anahtar değerleri otomatik olarak ayarlar; böylece bir yanıtsız kalmazsınız. Rt-crontool programı, ticket güncellemelerini otomatik olarak gerçekleştirir veya ticketlar boşta kaldığında bildirim göndermek için zamanlanmış işleri çalıştırabilir.

Web sayfası: https://bestpractical.com/request-tracker
Github: https://github.com/bestpractical

Apache Metron

Apache Metron, on yıl süren büyük veri bilgisini ve akışlı analitik deneyimini, güvenlik ekiplerinin kullanacağı seçilmiş bir teknoloji paketi halinde kapsayan, yenilik için oluşturulmuş bir araçtır. Siber güvenlik platformu için temel altyapıyı oluşturmakla ilgili tekrarlanabilir veri mühendisliği problemleri hakkında kaynak harcamaya gerek kalmadan, gerçek zamanlı profil oluşturma ve istatistiksel analiz için makine öğrenimini hızlı bir şekilde kullanabilmek için bir platform sağlar. Apache Metron, eski adıyla OpenSOC, tehdit izleme ve analizi için merkezi bir araç sunmak için çeşitli açık kaynaklı büyük veri teknolojilerini birleştirir. Metron, güvenlik telemetrisine tek bir platformda en güncel tehdit istihbarat bilgilerini uygularken log toplama, full packet capture, indeksleme, depolama, gelişmiş davranış analizi ve veri zenginleştirme yetenekleri sunar.

apache metron some, soc

Apache Storm, Apache HBase ve Apache Kafka’nın üzerine kurulan Metron, full packet capture da dahil olmak üzere herhangi bir telemetri kaynağını ölçeklendirebilir, normalleştirebilir ve dönüştürebilir. Metron’a verilen veriler, akışa göre coğrafi konum veya varlık tanımlayıcıları gibi değerli bağlamlarla zenginleştirilebilir. Yeni zenginleştirmeler, kesintisiz olarak kullanıcı tanımlı işlevler ve sağlam bir komut dosyası dili ile belirtilebilir. Tehditleri, olay müdahale ve araştırması için yalnızca en büyük tehditlere öncelik verilmesi için kurallar veya makine öğrenmesi modelleri kullanılarak belirlenebilmektedir.

Metron’a ait bazı özellikler:

  • Herhangi bir güvenlik türünde yakalama, saklama ve normalleştirme mekanizması;
  • Yüksek oranlarda telemetri;
  • Gerçek zamanlı işleme ve zenginleştirme uygulamaları;
  • Verimli bilgi depolama;
  • Sistemden geçen verilerin merkezi bir görünümünü ve uyarıları sağlayan arabirim
  • En büyük veri kümelerinde bile güvenlik analizi yapmak için istatistiksel özet veri yapılarının kullanılması

apache metron some, soc

Apache Metron, ister e-posta hizmeti sağlayıcısı gibi uygulamaya özel ortamlarda olsun isterse Nesnelerin interneti (IoT) gibi platformlarda olsun, kullanıcıların siber güvenlik tehditlerini hızla algılar ve bunlara yanıt vermesini sağlamak için büyük verileri ve makine öğrenmesini kullanır. Avustralya’nın en büyük telekomünikasyon, medya ve İnternet Hizmet Sağlayıcısı Telstra, anahtar hizmet merkezlerinde kurumsal düzeyde güvenlik operasyon merkezleri (SOC) için Apache Metron kullanmaktadır.

Metron Dashboard

apache metron dashboard some, soc

Metron’un varsayılan gösterge tablosu, varsayılan sensör paketiyle Metron’un uçtan uca çalışmasını kolaylıkla doğrulamanıza izin vermek için tasarlanmıştır. Kibana 4’te bulunan yararlı widget’ların bazılarını vurguluyor ve kendi özelleştirilmiş gösterge tablolarınızı oluşturmanız için başlangıç noktası olarak hizmet ediyor.

Web sayfası: http://metron.apache.org/
Github: https://github.com/apache/metron

Yorum Yaz

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*
*

Mail listemize üye olarak eğitim fırsatlarını kaçırmayın!
Eğitim ve ücretsiz etkinliklerizden haberdar olmak için e-posta listesimize üye olun!.